Sürgősen cseréld le online jelszavadat!

2014 Április elején futótűzként járta be a világsajtót az a híradás, melyben bizonyos internetes weboldalak védelmi rendszerén egy olyan biztonsági rést fedeztek fel, melynek kihasználásával internetese bűnözők könnyen hozzájuthattak felhasználónevekhez és védett jelszavakhoz.

A hibáért egy OpenSSL nevű szoftver a felelős, és nemcsak a népszerű közösségi oldalak és email szolgáltatók használják előszeretettel, hanem sok bank internetes oldalán is alkalmazásban van. Az, hogy ki és milyen célból juthatott hozzá bizonyos jelszavakhoz és felhasználónevekhez, nem lehet tudni, mint ahogy azt sem lehet kinyomozni, hol történtek ilyen illetéktelen eltulajdonítások. Így az egyetlen jó megoldás az lehet, amit minden banki ügyfélnek fontos most megtennie, hogy a soron következő internetbanki belépéskor megváltoztatja mind a felhasználónevét, mind a jelszavát!

Erre egyébként valószínűleg minden bankportál kérni is fogja az ügyfeleit.

Pontosan mi is történt?

Minden olyan internetes oldalt, melynek felhasználói valamilyen felhasználónévvel és jelszóval védett tartalmai lehetnek az adott weboldalon, speciális titkosítási eljárással szükséges védeni, hogy se a tartalmakhoz, se a jelszavakhoz más ne férhessen hozzá. Sajnálatos módon a most felfedezett biztonsági résért felelős OpenSSL titkosítási szoftver az egyik legelterjedtebb ilyen jellegű szoftver, így ez a eset mondhatni százmilliókat érint most az egész világon. A hírek szerint az Android 4.1.1. szoftverrel telepített okostelefonok is érintettek az ügyben.

A biztonsági résért felelős hibás kódrészlet 2011-ben került bele az említett szoftverbe, és olyan szinten tette sebezhetővé, hogy több szoftveres biztonsági szakértő nevezte katasztrofálisnak a hibát, és sokan az amerikai biztonsági botrányhoz hasonló horderejűnek tartják már most ezt a biztonsági botrányt. A német programozó, aki a hibás szoftver beillesztést végezte, tagadta, hogy bármilyen szándékosság is lenne a súlyos tévedésben, ahogy ő nevezte. Elmondása szerint egy ellenőrzési alapműveletet felejtett el elvégezni a beillesztés során, és furcsa mód az ezt ellenőrző személy sem vette észre a súlyos hibát.

A biztonsági rést közel két és fél évig használhatta ki, aki azt észrevette. Egészen egyszerűen belépve az internetről az elvileg titkosítási eljárással védett szerverek memóriájából könnyen megnézhette bárki felhasználónevét, jelszavát és más adatait, tartalmait, beleértve ebbe rengeteg bank oldalait is. Egyébként az, hogy ezen időszak alatt nem nőtt a banki visszaélések száma, arra enged következtetni, hogy vagy nagyon kevesen tudhattak erről a biztonsági résről, vagy nem akartak banki visszaéléseket elkövetni, hanem más céljaik lehettek.

Ettől függetlenül a két évre visszamenően nem lehet tudni, hogy milyen adatokat emelhettek el a bankok szervereiről, tehát elkerülhetetlen minden belépéshez és pénzkezeléshez szükséges biztonsági jelszó és felhasználónév azonnali lecserélése.

Nemzetközi szinten is igen sok oldal érint ez a biztonsági probléma, gondoljunk bele ma már szinte mindenki lehet gmail, vagy facebook felhasználó vagy amazon vásárlója, paypal használó személy is, íme egy lista milyen oldalakon érdemes lecserélnünk a jelszavunkat.

Jelszó csere a gyakorlatban

Az egyik legnépszerűbb lakossági bank az OTP direkt online felületén a jelszó csere igen egyszerű.

• Lépjünk be az OTP direkt felületére
• Jobb felső sarokban látható beállítások linkre kattintsunk
• Válasszuk a jelszómódosítást – nagy kék gombra kattintsunk
• Adjuk meg a jelenlegi jelszavunkat, majd kétszer az ujjat, és kattintsunk az Elküldés zöld gombra.

Hogyan bankolhatunk biztonságosan interneten keresztül?

Néhány jótanácsot szeretnénk megosztani melynek figyelembe vételével, alkalmazásával biztonságban lehetnek a banki és bármilyen internetes adataink is, amit az online világban kezelünk.

• A legjobb megoldás mindenképpen az, ha a belépési jelszavainkat sűrűn változtatjuk, ezt érdemes megtenni hetente, de akár sűrűbben is. Ugyanígy a felhasználónevet is fontos bizonyos időközönként lecserélni.
• Nagyon figyeljünk arra, hogy biztosan a bank weblapját használjuk e, ha azzal találkozunk, hogy furcsa adatokat kér a lap, amelyen tartózkodunk, semmilyen adatot ne közöljünk. Figyeljünk a bank domain nevére, más néven internetcímére, ha abban furcsa számsort, vagy addig nem látott betűsort látunk, az biztosan nem a bank oldala. Általában a www. után a bank neve szerepel vagy rövidítve, vagy teljes terjedelmében, ezután pedig a .hu lezárás. Plusz karakterek a www. és .hu között nem lehetnek.
• A jelszavakat és a felhasználóneveket válasszuk meg gondosan, lehetőleg ne csak számokat, hanem kis és nagy betűket is tartalmazzon. Ezeket a jelszavakat és felhasználóneveket nem célszerű a számítógépen tárolnunk, inkább írjuk fel és tartsuk kizárólag otthon, soha ne férjen hozzá harmadik fél még véletlenül sem.
• Amennyiben megoldható, célszerű kizárólag az otthoni számítógépünkről intézni minden internetes banki ügyletet. Az egyik legveszélyesebbnek tartott online bankolás az, amikor valaki akár laptopjáról, akár okostelefonjáról úgy végez banki műveleteket, hogy valamilyen ingyenesen használható wifi hálózatra van felkapcsolódva. Az otthoni titkosított wifi természetesen nem számít ilyen veszélyforrásnak. Egyébiránt nem célszerű az úgynevezett internet kávézókból való online bankolás sem, és bármely más nyilvános helyen elérhető számítógépről végzett internet banki belépés sem. Amint végzünk az adott online banki ügyintézésünkkel, soha ne felejtsünk el kilépni a banki a rendszerből, magyarul jelentkezzünk ki a bank internetes oldaláról, amit a „Kijelentkezés” vagy „Logout” gombra való kattintással tehetünk meg. Nem a legjobb megoldás a különböző internetes böngészők jelszó és felhasználónév megjegyző lehetőségét használni, tehát amennyiben a gép megkérdi, hogy akarjuk a felhasználónév és jelszó megjegyzését, kattintsunk inkább a ‘nem’ lehetőségre, és minden egyes internet banki belépésnél használjuk inkább a saját számítógépünk billentyűzetét.
• Legyen megfelelő vírusvédelemmel és tűzfallal ellátva a gépünk, ezeket folyamatosan fejlesztik az aktuális vírusokra és kémprogramokra reagálva, és a változtatások frissítések formájában azonnal a számítógépre kerülnek, amennyiben az internetre belépünk.
• Soha ne töltsünk fel a számítógépünkre olyan programokat, amelyeknek forrásáról nem vagyunk teljesen biztosan meggyőződve. A legtöbb kémprogramot és vírust ilyen bizonytalan származású, vagy feltört szoftverrel vihetünk fel a gépünkre, de ettől függetlenül a hiteles forrásból származó programokat is érdemes a vírusirtónkkal telepítés előtt és utána is leellenőrizni, mivel sajnos bármikor érhetnek kellemetlen meglepetések az internet világában. A vírusirtóval való ellenőrzés nélkül a véletlen számítógépre feltelepített kémprogramok lényegében észrevehetetlenek, és kívülállók így könnyen hozzáférhetnek bizonyos adatokhoz. Mindettől függetlenül érdemes a számítógép vírusvédelmi rendszerével legalább havonta, de inkább hetente a teljes meghajtórendszert leellenőriztetni,m mert nem csak különböző szoftvertelepítésekkel kerülhetnek fel a gépre vírusok, vagy kémprogramok.
• Az otthoni számítógépünket is fontos lehet az illetéktelen hozzáférésektől megvédeni, így jól kihasználható az a lehetőség, amivel a számítógép operációs rendszerébe való belépést nem engedélyezzük mindenki számára, hanem egy bizonyos jelszóval tesszük ezt csak lehetővé.
• Nemcsak a vírusvédelem szorul rá folyamatos frissítésekre, a számítógépen használt operációs rendszert is fontos időszerűen rendben tartani. Az operációs rendszer frissítéseit az engedélyezésünk után automatikusan feltöltheti a gép, de ha szeretnénk azt minden esetben átnézni és mi engedélyezni, azt is beállíthatjuk a számítógépen. Ezek a frissítések sok esetben tartalmazhatnak olyan aktuális javításokat, melyek úgynevezett biztonsági hézagokat szüntethetnek meg, tehát nem érdemes ezeket a frissítéseket a gépünkről letiltani.
• Ellenőrizzük folyamatosan a bankszámlákon történő mozgásokat, érdemes minden tranzakcióról SMS vagy email értesítést kérni.
• Célszerű bizonyos napi limiteket megállapítani a számlán történő pénzmozgásokkal kapcsolatban, ezzel nagymértékben megnehezíthető az internetes csalók bármilyen próbálkozása.
  Rendkívül fontos, hogy semmilyen olyan emailre ne válaszoljunk, amelyet a bank nevében küldtek ki valakik, és bizalmas adatokat kérnek tőlünk a bank nevében. Egyik magyarországi bank sem kérne bizalmas adatokat tőlünk e-mailben. Ha ilyen internetes levelet kapunk, értesítsük róla a bankunkat.
• Amennyiben bármi gyanúsat észlelünk a számlával kapcsolatosan, tiltsuk el a baki hozzáférést akár telefonon, akár interneten keresztül.

A fenti tippek összegyűjtésében nagy segítségünkre volt a biztonsagosinternet.hu szakmai cikke. Érdemes tovább más weboldalakon olvasható internet biztonság technikai tanácsokat is megfogadni, mi most az általunk vélt legfontosabbakat gyűjtöttük össze.

Kérünk oszd meg másokkal is, hogy biztonságban legyenek banki adataink is!